QNAP, hafta sonu boyunca, kullanıcıların mümkün olan en kısa sürede ele alması gereken üç kritik önemdeki kusur da dahil olmak üzere birden fazla güvenlik açığını ele alan güvenlik bültenleri yayınladı.
Firmanın NAS sistemlerinde kullanılan bir not alma ve işbirliği uygulaması olan QNAP Notes Station 3’ten başlayarak, aşağıdaki iki güvenlik açığı onu etkilemektedir:
- CVE-2024-38643 – Kritik işlevler için kimlik doğrulamanın eksik olması, uzaktaki saldırganların yetkisiz erişim elde etmesine ve belirli sistem işlevlerini yürütmesine olanak tanıyabilir. Uygun kimlik doğrulama mekanizmalarının bulunmaması, saldırganların önceden kimlik bilgileri olmadan bu kusurdan yararlanmasına olanak tanıyarak sistemin tehlikeye girmesine neden olabilir. (CVSS v4 puanı: 9,3, “kritik”)
- CVE-2024-38645 – Kimlik doğrulama kimlik bilgilerine sahip uzak saldırganların, sunucu tarafı davranışını manipüle eden hazırlanmış istekler göndermesine ve potansiyel olarak hassas uygulama verilerinin açığa çıkmasına olanak tanıyan sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı.
QNAP, Notes Station 3 sürüm 3.9.7’de bu sorunları çözmüştür ve riski azaltmak için kullanıcıların bu sürüme veya daha yeni bir sürüme güncelleme yapmalarını önerir. Güncellemeye ilişkin talimatlar bu bültende mevcuttur.
Aynı bültende yer alan diğer iki konu, CVE-2024-38644 Ve CVE-2024-38646istismar için kullanıcı düzeyinde erişim gerektiren yüksek önem derecesine sahip (CVSS v4 puanı: 8,7, 8,4) komut ekleme ve yetkisiz veri erişimi sorunlarıdır.
QuRouter kusurları
QNAP’ın Cumartesi günü ele aldığı üçüncü kritik kusur CVE-2024-48860QNAP’ın yüksek hızlı, güvenli yönlendirici serisi QuRouter 2.4.x ürünlerini etkiliyor.
CVSS v4’e göre 9,5 “kritik” olarak derecelendirilen kusur, uzaktaki saldırganların ana sistem üzerinde komut yürütmesine olanak tanıyan bir işletim sistemi komut ekleme kusurudur.
QNAP ayrıca şu şekilde izlenen ikinci, daha az ciddi bir komut ekleme sorununu da düzeltti: CVE-2024-48861her iki sorun da QuRouter sürüm 2.4.3.106’da ele alınmıştır.
Diğer QNAP düzeltmeleri
Bu hafta sonu önemli düzeltmeler alan diğer ürünler arasında QNAP AI Core (AI motoru), QuLog Center (günlük yönetim aracı), QTS (NAS cihazları için standart işletim sistemi) ve QuTS Hero (QTS’nin gelişmiş sürümü) yer alıyor.
CVSS v4 derecelendirmesi 7,7 ile 8,7 (yüksek) arasında olan bu ürünlerde düzeltilen en önemli kusurların bir özetini burada bulabilirsiniz.
- CVE-2024-38647: Uzaktaki saldırganların hassas verilere erişmesine ve sistem güvenliğini tehlikeye atmasına olanak verebilecek bilgilerin açığa çıkması sorunu. Kusur, QNAP AI Core sürüm 3.4.x’i etkiliyor ve sürüm 3.4.1 ve sonrasında çözüldü.
- CVE-2024-48862: Uzaktaki yetkisiz saldırganların dosya sisteminden geçmesine ve dosyalara erişmesine veya bunları değiştirmesine olanak tanıyan bağlantı izleme kusuru. QuLog Center’ın 1.7.x ve 1.8.x sürümlerini etkiliyor ve 1.7.0.831 ve 1.8.0.888 sürümlerinde düzeltildi.
- CVE-2024-50396 Ve CVE-2024-50397: Saldırganların hassas verilere erişmesine veya belleği değiştirmesine olanak verebilecek, harici olarak kontrol edilen biçim dizelerinin hatalı işlenmesi. CVE-2024-50396, sistem belleğini yönetmek için uzaktan kullanılabilirken CVE-2024-50397, kullanıcı düzeyinde erişim gerektirir. Her iki güvenlik açığı da QTS 5.2.1.2930 ve QuTS Hero h5.2.1.2929’da çözüldü.
QNAP müşterilerinin, olası saldırılara karşı korunmaya devam etmeleri için güncellemeleri mümkün olan en kısa sürede yüklemeleri önemle tavsiye edilir.
Her zaman olduğu gibi, QNAP cihazları hiçbir zaman doğrudan İnternet’e bağlanmamalı ve bunun yerine kusurların uzaktan istismarını önlemek için bir VPN’in arkasına yerleştirilmelidir.